[정책제안] ISMS-P 강화, 또 같은 실수를 반복하는가: 인증을 넘는 보안으로 가야 한다
정부는 ISMS-P 인증 의무 대상을 확대하고, 심사 기준과 방식도 강화하겠다고 밝혔다.
인증 범위를 숨은 디지털 자산까지 넓히고, 현장 중심 심사와 기술심사를 강화하며, 상시 점검과 사후관리도 확대하겠다는 방향이다.
표면적으로 보면 자연스러운 대응처럼 보인다.
사고가 반복되니 제도를 더 촘촘하게 만들겠다는 이야기이기 때문이다.
하지만 여기서 먼저 물어야 할 질문이 있다.
강화된 ISMS-P가
실제 공격을 얼마나 더 빨리 발견하고,
얼마나 더 정확하게 대응할 수 있는가.
정책은 의도가 아니라 결과로 증명되어야 한다.
보안 정책이라면 더욱 그렇다.
지금 필요한 것은 강화 선언이 아니라 설명이다
지금 말하는 인증 강화가
실제로 도움이 됐다는 데이터가 있는가.
아니면 앞으로 도움이 될 것이라는
구체적인 근거라도 충분한가.
더 중요한 질문은 이것이다.
강화된 ISMS-P가
어떤 공격에 대해
무엇을 새롭게 대응할 수 있는가.
이 질문에 대한 설명 없이
“강화”만 반복된다면
보안이 아니라 절차만 강화될 가능성이 크다.
GS리테일 크리덴셜 스터핑 사례가 던지는 질문
GS리테일 사례는 이 논점을 선명하게 보여 준다.
크리덴셜 스터핑 공격은 새로운 공격이 아니다.
오래전부터 반복되어 온 매우 단순한 공격이다.
그런데도 대규모 피해로 이어졌다는 것은
문제가 단지 문서와 절차의 유무에만 있지 않다는 뜻이다.
이런 공격을 줄이는 핵심은 대체로 분명하다.
- 반복 로그인 시도에 대한 탐지
- 자동화된 대입 공격에 대한 차단
- 계정 보호 정책의 실제 운영
- 로그인 이후 이상 행위의 연속 분석
즉, 핵심은 문서의 존재보다
인증·인가 흐름을 실제로 보고 있었는가에 가깝다.
그래서 다시 묻게 된다.
그렇다면 강화된 인증은
정말 웹 공격과 크리덴셜 스터핑 공격에
제대로 대응할 수 있는가.
이 질문에 답하지 못한다면
강화는 있어도 실효성은 없다.
지난 3년의 주요 공격을 기준으로 답해야 한다
정부가 이번 강화를 실효성 있는 해법이라고 말하려면
최소한 지난 3년간 반복된 주요 공격 유형을 기준으로
무엇이 달라지는지 설명할 수 있어야 한다.
대표적인 유형은 다음과 같다.
- 크리덴셜 스터핑
- 세션 탈취
- 키 관리 실패
- 공급망 침해
- 관리자 계정 악용
- LOTL 기반 내부 침해
- 장기 잠복형 유출
- 웹방화벽 우회 공격
이 목록이 중요한 이유는 단순하다.
현실의 공격은 대부분
정상처럼 보이는 요청, 정상 계정, 정상 프로세스를 가장해 들어온다.
따라서 인증 강화를 말하려면
이 공격군에 대해 아래 질문에 답해야 한다.
무엇을 더 빨리 탐지할 수 있는가
무엇을 더 정확하게 차단할 수 있는가
무엇을 실제로 대응할 수 있는가
특히 웹방화벽 우회 공격은 반드시 포함되어야 한다.
왜냐하면 실제 침해는
“웹방화벽이 있었는가”의 문제가 아니라,
우회된 이후 어떤 요청과 응답, 어떤 세션 흐름, 어떤 비정상 행위가 남았는가의 문제로 이어지기 때문이다.
모의 해킹 강화만으로 충분한가
이번 논의에서 자주 등장하는 보완책 가운데 하나가
모의 해킹 강화다.
물론 모의 해킹은 필요하다.
하지만 여기에도 반드시 물어야 할 질문이 있다.
모의 해킹을 강화한다고 하지만
그 모의 해커의 수준은 누가 담보하는가.
더 나아가 묻게 된다.
국가적 배후를 가진 공격 조직 수준의 침해를 상정한
실전형 검증을 제공할 수 있는가.
그리고 더 본질적인 질문이 있다.
강화된 인증 기준 자체는
지금의 공격 환경을 제대로 반영하고 있는가.
이미 많은 보안 기준은
20년 이상 축적된 항목 위에 쌓여 있다.
그렇다면 묻지 않을 수 없다.
지난 20년 동안 변화된 공격 환경 속에서
더 이상 의미가 없거나
오히려 현실과 맞지 않는 항목은 없는가.
예를 들어,
오늘날 대부분의 네트워크 트래픽은 암호화되어 있다.
그럼에도 불구하고 여전히
평문 기반 분석을 전제로 한 보안 요구사항이
인증 항목에 포함되는 이유는 무엇인가.
이것은 단순한 기술 문제가 아니다.
환경이 바뀌었는데
기준은 그대로라면
그 인증은 현실을 반영하지 못한다.
여기서 반드시 짚어야 할 원칙이 있다.
무언가를 추가한다면
동시에 무엇을 제거할 것인지도 함께 검토해야 한다.
하지만 지금의 인증 강화는
추가만 있고 제거는 없다.
그 결과는 명확하다.
- 항목은 계속 늘어나고
- 부담은 계속 증가하며
- 실질적인 대응력은 반드시 함께 올라간다고 보장할 수 없다
모의 해킹도 마찬가지다.
형식적인 시나리오 기반 점검을 반복한다고 해서
현실의 공격을 모두 검증할 수 있는 것은 아니다.
특히 다음과 같은 공격은
일회성 점검이나 형식적 시나리오만으로는 검증하기 어렵다.
- LOTL 기반 공격
- 장기 잠복형 침해
- 공급망 공격
- 웹방화벽 우회 공격
결국 중요한 것은
모의 해킹을 했는가가 아니라,
실제 운영 환경에서
변화된 공격 환경에 맞는 기준으로
이상 행위를 탐지하고 대응할 수 있는가이다.
우리가 반복하고 있는 3가지 오해
| 오해 | 실제 문제 | 필요한 방향 |
|---|---|---|
| 항목이 많아지면 보안이 좋아진다 | 기업은 대응보다 통과에 집중한다 | 실시간 탐지·차단·복구 능력 |
| 인증이 곧 안전이다 | 인증은 실시간 방어가 아니다 | 지속적인 행위 분석 |
| 규제 강화가 산업을 보호한다 | 중소·스타트업 부담 증가 | 실질 대응 중심 투자 |
이 세 가지를 구분하지 못하면
보안은 계속 형식에 머무르게 된다.
그리고 그 결과는 대체로 같다.
사고는 반복되고,
기업은 더 지치며,
산업은 더 무거워진다.
이제는 인증 중심에서 기록 중심으로 넘어가야 한다
보안의 출발점은 문서가 아니다.
기록이다.
실제 공격은 문서에서 드러나지 않는다.
행위에서 드러난다.
따라서 정책도
“무엇을 갖추고 있는가”보다
“무엇을 남기고, 무엇을 보고, 무엇을 연결해 해석할 수 있는가”를 중심으로 바뀌어야 한다.
최소한 다음은 반드시 확보되어야 한다.
1. 기록 기준을 더 구체적으로 바꿔야 한다
기록은 단순 보관이 아니라
공격 흐름을 복원할 수 있는 수준이어야 한다.
최소 기준은 명확하다.
- 웹 요청과 응답의 주요 흐름
- 로그인·인증·인가 이벤트
- 관리자 행위와 중요 설정 변경
- 서버와 OS 실행 로그
- 비정상 접근, 대량 조회, 외부 반출 흔적
특히 웹 공격 대응에서는
단순 URL이나 상태코드만으로는 부족하다.
필요한 경우 요청 본문과 응답 흐름까지 확인할 수 있어야
크리덴셜 스터핑, API 오남용, 웹방화벽 우회 이후 행위를 제대로 해석할 수 있다.
2. 감사정책은 존재 여부가 아니라 작동 여부를 봐야 한다
점검은 서류가 아니라 운영 상태를 봐야 한다.
예를 들어 실제로 봐야 할 것은 다음과 같다.
- MFA가 문서상 존재하는가가 아니라 실제로 적용되는가
- 비정상 로그인 차단 정책이 선언됐는가가 아니라 실제로 동작하는가
- 관리자 계정과 과권한 계정이 주기적으로 정리되는가
- 외부 노출 자산과 중요 설정 변경이 감사 로그에 남는가
- 주요 서버와 애플리케이션의 행위 로그가 추적 가능한가
즉, 감사정책 강화란
항목 수를 늘리는 것이 아니라
운영 중인 통제가 실제로 작동하는지를 확인하는 방향이어야 한다.
3. 분석은 단일 이벤트가 아니라 행위 기반 상관 분석이어야 한다
오늘의 공격은 정상처럼 보인다.
그래서 단일 이벤트만 보면 놓치기 쉽다.
필요한 것은 이런 흐름을 연결해서 보는 것이다.
- 반복 로그인 실패 이후 성공
- 성공 이후 이어지는 대량 조회
- 권한 상승 뒤 설정 변경
- 정상 프로세스를 가장한 실행
- 웹방화벽 우회 이후 비정상 요청·응답 흐름
- 내부 시스템에서 이어지는 장기 잠복형 행위
이 흐름을 상관 분석할 수 있어야
실제 침해를 조기에 발견할 수 있다.
즉, 보안의 핵심은
더 많은 항목이 아니라
더 많은 맥락이다.
정책은 여기서 바뀌어야 한다
ISMS-P를 없애자는 뜻은 아니다.
문제는 그것만으로 충분하다고 보는 관성이다.
그래서 필요한 것은
인증 폐지가 아니라 인증의 역할 재정의다.
1. 인증은 기본선으로 유지해야 한다
관리체계의 최소 수준을 확인하는 장치로서
인증은 필요하다.
하지만 그것을 실질적인 해킹 대응 능력까지
보장하는 제도로 해석해서는 안 된다.
인증은 어디까지나 기본선이어야 한다.
2. 실질적인 해킹 대응은 별도 영역으로 다뤄야 한다
특히 다음과 같은 현실 공격에 대해서는
인증만으로 충분하다고 말해서는 안 된다.
- 크리덴셜 스터핑 대응
- 웹방화벽 우회 이후 탐지
- 관리자 계정 악용 분석
- 내부 행위 기반 침해 대응
이 영역은 형식적 적합성보다
기록, 분석, 탐지, 대응 역량이 핵심이다.
3. 정부는 강화 약속보다 구체적 가이드를 제공해야 한다
실질적인 해킹 대응을 제공할 수 없다면
인증은 기본선만 유지해야 한다.
그리고 실질적인 해킹 대응에 대해서는
강화된 인증을 약속할 것이 아니라,
공격 유형별로 현장이 적용할 수 있는
구체적인 대응 가이드를 제공해야 한다.
예를 들어 다음과 같은 방식이다.
- GS형 크리덴셜 스터핑 대응 가이드
- 웹방화벽 우회 공격 이후 분석 가이드
- 관리자 계정 이상 행위 탐지 가이드
- 장기 잠복형 침해 대응 로그 기준
- 웹 요청·응답 로그 수집과 보관 기준
- 인증 이벤트와 OS 감사정책 연계 기준
정책이 정말 실효성을 원한다면
규제를 더 쌓는 것보다
이런 가이드를 더 정교하게 내놓아야 한다.
왜 이 문제가 산업 전체를 더 어렵게 만드는가
형식적 규제는 대기업보다
중견·중소기업과 스타트업에 더 큰 부담으로 작용한다.
준비 인력, 심사 대응 시간, 문서화 부담, 외부 컨설팅 비용은
결국 실제 대응 체계에 써야 할 자원을 빼앗는다.
그런데도 사고는 계속 반복된다면
남는 것은 피로감뿐이다.
보안이 산업의 기반이 되려면
기업이 “통과”가 아니라 “대응”에 투자하도록 만들어야 한다.
이 전환에 실패하면
규정은 늘어나도 대응력은 제자리인 상태가 반복된다.
그것은 산업을 보호하는 길이 아니라
산업을 지치게 만드는 길에 가깝다.
결론
지금의 논의는 결국 하나로 모인다.
인증을 더 강화하면
실제 공격에 더 잘 대응할 수 있는가.
이 질문에 답하지 못하면
강화는 있어도 실효성은 없다.
그래서 이제 정부는
더 분명하게 설명해야 한다.
강화된 ISMS-P는
GS형 크리덴셜 스터핑 공격과
웹방화벽 우회 공격을 포함한
지난 3년의 주요 공격 유형에 대해
무엇을 새롭게 탐지하고,
무엇을 더 빨리 대응하며,
무엇을 실제로 막을 수 있는가.
이 질문에 답하지 못한다면
정책은 설득력을 얻기 어렵다.
실질적인 해킹 대응을 제공할 수 없다면
인증은 기본선만 유지해야 한다.
그리고 실질적인 해킹 대응에 대해서는
강화된 인증을 약속할 것이 아니라,
공격 유형별로 현장이 적용할 수 있는
구체적인 가이드를 제공해야 한다.
인증이 실제 대응 역량까지 대신할 수 있다고 말해서는 안 된다.
그 영역은 기록, 분석, 탐지, 대응의 문제다.
보안 정책은 추가만으로 완성되지 않는다.
무엇을 제거할 것인지까지 함께 결정할 때
비로소 현실에 맞게 진화할 수 있다.
보안은 더 많은 체크리스트로 강해지지 않는다.
더 많은 현실 데이터와 더 빠른 대응 위에서 강해진다.